Active Directory和Exchange体系结构问题


11

这是我们情况的背景...

现在,我们被设置为拥有三个完整的Active Directory和Exchange系统的三个不同的公司。三个办公室(美国一个办公室,欧洲两个办公室)通过三种方式的VPN设置连接(因此每个办公室都可以与其他两个办公室进行安全通信)。在Active Directory中,每种设置都有一个双向信任关系设置。所有系统都运行Server 2003和Exchange 2003。

公司和80个用户之间大约有160个邮箱(其他邮箱用于IT子系统,转发帐户或其他用途)。

两家公司正式合并在一起(而不仅仅是建立信任关系)。因此,我们正在研究一种组合的解决方案(基于新名称),其中每个办公室都位于同一系统(Exchange和Active Directory)上,并且整合了我们的IT基础结构(重复很多)。

他们聘请了一家外部公司来审核我们的IT基础架构。他们提出了正式建议,将IT基础架构外包(并猜测他们想提供什么服务)。

我的任务是弄清楚该怎么做。我已经考虑了很多,并且提出了两个选择。基本区别在于托管Exchange的位置(内部是外包的)。由于外包很容易理解,因此我将详细介绍内部设置。

由于需要高可用性,因此我们希望内置一些地理冗余。因此,我提出以下内容(我将办公室称为Site1,Site2和Site3):

网站1:

  • FSMO Active Directory角色
  • Exchange邮箱角色-主要
  • Exchange客户端访问,集线器传输服务器角色
  • DFS文件共享角色(用于共享驱动器)

网站2:

  • Active Directory角色-从Site1复制
  • Exchange邮箱角色-辅助角色,使用CCR复制进行复制
  • Exchange客户端访问,集线器传输服务器角色
  • DFS文件共享角色

Site3:

  • Active Directory角色-从Site1复制
  • Exchange客户端访问,集线器传输服务器角色
  • 文件共享见证(用于故障转移)
  • DFS文件共享角色

因此,基本上,群集应该能够在不关闭任何其他站点(或任何系统)的情况下承受单个站点故障。如果出现双重站点故障,Exchange将完全停止。

因此,我的担忧如下:

  1. 这是合理的设置吗?还是我使事情复杂化了?
  2. 所需的服务器数(由于CCR邮箱角色必须是唯一安装的角色,因此每个站点上的服务器数量为3)。
  3. 它甚至可以汇总运行(如果站点或服务器出现故障,它将自动故障转移到可用节点)?
  4. 由于每个办公室都会为其用户指定一个本地客户端访问服务器,因此该服务器成为所有本地请求的单点故障(但这可以通过手动更改DNS来解决)
  5. 所有这些服务器是否都需要在同一IP子网中才能正常工作?还是我可以为其使用hiearchial DNS(clientaccess.site1.foo.com等)逃脱?
  6. 这将使我将每个办公室都设置为MX记录(因为每个办公室中都有集线器传输服务器以连接到互联网),因此,如果一个办公室出现故障,我们仍然应该能够在其他办公室中接收电子邮件,对吗?
  7. 可维护性。我担心从长远来看,此设置太复杂以至于无法维护(添加办公室,删除办公室,升级服务器(包括操作系统和硬件)等)。那是合理的恐惧吗?

现在,还有关于服务器2003还是2008的问题……如果我们使用内部Exchange路由,我想我可以说服升级到2008的能力(实际上,我们需要升级才能使用Exchange 2010) ...但是真的有必要还是只是我的“一个愿望”偷偷溜进了计划(而不是合理的升级)...

现在,我的一部分只想使用外包的Exchange,因为它可以缓解其中的一些问题(或大多数问题)。但是,在考虑成本之后,收支平衡点大约为1年,因此此后外包将变得更加昂贵。再加上我们依赖的某些功能可能无法外包(至少与我们所考察的公司合作)(例如,共享邮箱,包括SSO的Active Directory耦合,集中管理,数据安全性等)。所以我真的很想知道该去哪里...

这是我正在尝试的如此规模的第一个项目,因此任何帮助将不胜感激...

在此先感谢您(对这本书深表歉意)...


+1是写得非常好且有据可查的问题。如果可以的话,会给您+2作为头像。
pauska,2010年

Answers:


6

我们处于类似的情况,除了在我们的情况下我们已经是一家公司。但是我们在剑桥,伦敦,斯德哥尔摩,上海和亚特兰大设有办事处。全部通过VPN连接。其中三台具有Exchange服务器(Exchange 2010上有两台,第三台将很快升级)。我们的大多数域控制器都运行Windows 2003,但是我们正在将它们全部升级到Windows2008。我们有大约150名员工,遍布各地。非常类似于您的情况。

因此,从我的角度来看,以下是一些答案:

  1. 如果您有一支不错的IT团队,那么我永远也不会考虑外包。实际上,即使您的团队不称职,我还是愿意花一些精力使它得体。您的响应时间会大大缩短,安全设置也会更简单,但最重要的是:您的IT团队将主要致力于保持IT基础架构的最佳运行状态。外包提供商的主要重点是从您身上获得最大收益,而不是提供最佳服务。
  2. 您计划的设置非常可行。您的主要挑战将是将所有内容迁移到一个公共域,但这可以逐步完成。
  3. 满足您大部分需求的服务器将一臂之力。如果您需要购买其他服务器,则所需的资本支出将很小。
  4. 概述是否起作用,取决于您配置公用DNS和内部路由的性能。绝对可以使它工作。
  5. 我强烈建议为每个办公室使用单独的子网。使生活作为一个系统管理员一个LOT容易。为每个办公室使用一个大小适中的子网,然后对站点之间的流量或OSPF使用静态路由(大多数体面的VPN路由器将提供OSPF)。实际上,在大多数办公室中,我们有2个单独的子网,使正常的公司流量与工程流量分开(因为我们的工程师倾向于使用DNS,DHCP,视频流以及其他方法来做很多时髦的事情)。而且效果很好。实际上,我们甚至可以使任何办公室的工程师都可以使用来自其他任何地方的流媒体的视频流,而不必知道它来自何处。
  6. 不要试图将所有计算机都放在一个大子网中。您将把头发扯开。诺言。
  7. 我们有三个公用邮件网关(位于具有最高Internet连接带宽的办公室中),它们的配置完全相同,并且都转发到最近的Exchange服务器,然后从该服务器将邮件分发到最终邮箱。没问题
  8. 一旦掌握了路由之类的知识,您就会发现这并不难维护。我总共在所有这些站点上分布着约150台服务器,大约有六个VPN路由器,几十个受管交换机。我们是混合设置(服务器和工作站上Windows为30%,Linux为70%),我有4个人向我报告。完全没有问题。

相信您的学习能力,您将成功。计划很好。我将使用Windows Server 2008,并将Exchange Server一次一个地迁移到Exchange2010。对于Exchange的迁移,您可能需要一些外部帮助(我们需要它,而我的员工通常对Exchange都很好),但如果不用担心最初的资本布局,您也可以一一迁移。无需一口气做这一切。


哇!真是个答案!好吧,让我回应您提出的一些观点。首先,除非绝对必要,否则我不会将所有内容都放在一个子网中。我的想法是将所有内容放置在一个C类子网中,每个办公室都有特定的子网(例如,对于site1计算机为172.25.50.0,对于site1服务器为172.25.55.0,对于site2计算机为172.25.60.0,等等)。然后,只需指定掩码就可以管理所有内容...注意,您是否建议使用多个邮箱服务器(每个站点一个)?还是复制一个整体邮箱服务器以实现冗余?
ircmaxell,2010年

或者,这恰恰是您针对子网警告的内容?给每个办公室一个完全独立的子网(甚至不是同一\ C的一部分),我会更好吗?
ircmaxell,2010年

子网划分:您所描述的与我们所做的和我的构想非常相似,我不希望成为规定性的,因为情况决定了细节的布局。
wolfgangsz

电子邮件:我建议在站点上为所有用户使用本地邮箱,而在其他站点上使用DAG邮箱(这是Exchange 2010的概念,非常有用)。
wolfgangsz

足够公平(我注意到在2010年,这似乎正是我们想要的)。我是一名按行业划分的开发商。但是大约一年前,当我们的系统管理员离开时,我接管了(对我的网站)的职责。我喜欢它,并且学到了很多东西,但是仍然有很多东西要学习...因此,对这些东西进行健全性检查确实非常有用,非常有用...非常感谢!
ircmaxell,2010年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.